Преступники проэксплуатировали известный брэнд для распространения инфостилера Proton.
Злоумышленники не устают изобретать новые способы распространения вредоносного ПО, не вызывающие подозрения у пользователей. Эксперты компании Malwarebytes обнаружили кампанию, в рамках которой киберпреступники распространяют новую версию вредоноса Proton для macOS через поддельный блог Symantec. Symantecblog[.]com является отличной имитацией ресурса компании и даже содержит контент из оригинального блога, в частности, публикацию о свежей версии трояна CoinThief, предлагающую приложение Symantec Malware Detector, которое в действительности инфицирует компьютеры пользователей вредоносным ПО Proton.
Домен и адрес фальшивого ресурса выглядят как легитимные, однако электронный адрес вызывает подозрения. К тому же, сайт использует SSL-сертификат Comodo, вместо выданного удостоверяющим центром Symantec. Ссылки на блог распространяются как через «левые», так и легитимные аккаунты в Twitter. Как полагают эксперты, организатор компании мог получить доступ к учетным записям с помощью краденных логинов и паролей или обманом вынудить пользователей продвигать ссылки на поддельный ресурс.
При запуске Symantec Malware Detector демонстрирует простой интерфейс с логотипом Symantec и просьбой авторизоваться якобы для проверки системы. Если пользователь закроет окно на данном этапе, инфицирования не произойдет, в противном случае на его компьютер будет установлено вредоносное ПО. Оказавшись на системе, Proton приступает к сбору различных данных, в том числе паролей, персонально идентифицируемой информации, файлов .keychain, данных автозаполнения в браузере, содержимого менеджера 1Password и пр. Собранные сведения сохраняются в скрытой папке.
Специалисты проинформировали Apple о проблеме, и компания уже отозвала сертификат, используемый для цифровой подписи вредоносное программы. Данная мера предотвратит случаи инфицирования через Symantec Malware Detector в будущем, однако не поможет пользователям, чьи устройства уже были заражены Proton. После удаления вредоноса с компьютера эксперты рекомендуют пользователям сменить все учетные данные.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках